Le certificat du périphérique peut être actualisé automatiquement par le processus SCEP.

• Le téléphone vérifie si le certificat expirera dans 15 jours toutes les 4 heures. Si tel est le cas, le téléphone lance automatiquement le processus de renouvellement de certificat.
• Si le mot de passe du défi est vide, le téléphone utilise MIC/SUDI à la fois pour l'inscription initiale et le renouvellement du certificat. Si le mot de passe du défi est configuré, il est utilisé uniquement pour l'inscription initiale, le certificat existant/installé est utilisé pour le renouvellement du certificat.
• Le téléphone ne supprime pas le certificat de l'ancien périphérique tant qu'il n'en récupère pas le nouveau.
• Si le renouvellement de certificat échoue parce que le certificat du périphérique ou l'autorité de certification expire, le téléphone déclenche automatiquement l'inscription initiale. En attendant, si l'authentification du mot de passe de défi échoue, un écran de saisie du mot de passe s'affiche sur l'écran du téléphone et les utilisateurs sont invités à saisir le mot de passe de défi sur le téléphone.

Les téléphones IP Cisco prennent en charge l'authentification 802.1X.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole CDP (Cisco Discovery Protocol) pour s’identifier les uns les autres et déterminer des paramètres tels que l’allocation VLAN et les besoins en alimentation en ligne. CDP n’identifie pas localement les postes de travail raccordés. Les téléphones IP Cisco fournissent un mécanisme de transmission EAPOL. Ce mécanisme permet à un poste de travail raccordé au téléphone IP Cisco de transmettre des messages EAPOL à l’authentificateur 802.1X au niveau du commutateur LAN. Le mécanisme de transmission directe garantit que le téléphone IP n'agit pas en tant que commutateur LAN pour authentifier un point de terminaison de données avant d'accéder au réseau.

Les téléphones IP Cisco fournissent également un mécanisme de déconnexion EAPOL par proxy. Si l’ordinateur connecté localement se déconnecte du téléphone IP, le commutateur LAN ne voit pas la connexion physique en panne, car la liaison entre le commutateur LAN et le téléphone IP est maintenue. Pour éviter de compromettre l'intégrité du réseau, le téléphone IP envoie un message EAPOL-Logoff au commutateur pour le compte de l'ordinateur en aval, ce qui déclenche le commutateur LAN pour effacer l'entrée d'authentification de l'ordinateur en aval.

La prise en charge de l'authentification 802.1X nécessite plusieurs composants :

• Téléphone IP Cisco Le téléphone lance la demande d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux administrateurs réseau de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l'authentification réseau.

• service d’authentification Le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé qui authentifie le téléphone.

• Commuter : Le commutateur doit prendre en charge 802.1X, afin qu'il puisse agir en tant qu'authentificateur et transmettre les messages entre le téléphone et le serveur d'authentification. Une fois l'échange terminé, le commutateur accorde ou refuse au téléphone l'accès au réseau.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

• Configurez les autres composants avant d'activer l'authentification 802.1X sur le téléphone.

• Configurer le port PC : La norme 802.1X ne prend pas en compte les VLAN et recommande donc qu'un seul périphérique soit authentifié sur un port de commutation spécifique. Cependant, certains commutateurs prennent en charge l'authentification sur plusieurs domaines. La configuration du commutateur détermine si vous pouvez connecter un PC au port PC du téléphone.

  • Activé : Si vous utilisez un commutateur qui prend en charge l'authentification sur plusieurs domaines, vous pouvez activer le port PC et y connecter un ordinateur. Dans ce cas, les téléphones IP Cisco prennent en charge le déconnexion de l'EAPOL par proxy pour surveiller les échanges d'authentification entre le commutateur et l'ordinateur connecté.

    Pour plus d'informations sur la prise en charge de la norme IEEE 802.1X sur les commutateurs Catalyst Cisco, reportez-vous aux guides de configuration des commutateurs Catalyst Cisco à l'adresse :

    http://www.cisco.com/fr/FR/products/hw/switches/ps708/tsd_products_support_series_home.html

  • désactivé Si le commutateur ne prend pas en charge plusieurs périphériques compatibles 802.1X sur le même port, vous devez désactiver le port PC lorsque l'authentification 802.1X est activée. Si vous ne désactivez pas ce port et que vous tentez ensuite d’y brancher un ordinateur, le commutateur refuse l’accès réseau au téléphone et à l’ordinateur.

• Configurer le VLAN voix : Étant donné que la norme 802.1X ne prend pas en compte les VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.
  • Activé : Si vous utilisez un commutateur qui prend en charge l’authentification sur plusieurs domaines, vous pouvez continuer à utiliser le VLAN voix.
  • désactivé Si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port au VLAN natif.
• (Pour les téléphones Cisco Desk Phone série 9800 uniquement)

  Le PID du téléphone de bureau Cisco série 9800 comporte un préfixe différent de celui des autres téléphones Cisco. Pour permettre à votre téléphone de passer l'authentification 802.1X, configurez le paramètre Radius·Nom d'utilisateur pour inclure votre téléphone de bureau Cisco série 9800.

  Par exemple, le PID du téléphone 9841 est DP-9841 ; vous pouvez configurer Radius.Nom d'utilisateur sur Démarrer avec DP ou Contient DP. Vous pouvez le configurer dans les deux sections suivantes :

  • Politique > Conditions > Conditions de la bibliothèque

  • Politique > Ensembles de politiques > Politique d'autorisation > Règle d'autorisation 1

Étant donné que tous les périphériques WLAN qui sont à portée peuvent recevoir tout le trafic WLAN, la sécurisation des communications vocales est essentielle dans les réseaux WLAN. Pour garantir que les intrus ne manipulent pas et n'interceptent pas le trafic vocal, l'architecture de sécurité SAFE de Cisco prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, voir http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie IP sans fil Cisco assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses, à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone :

• Ouvrir l'authentification : Tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la demande peut accorder l'authentification à n'importe quel demandeur ou uniquement aux demandeurs figurant sur une liste d'utilisateurs. La communication entre le périphérique sans fil et le point d'accès (AP) peut être non chiffrée.

• Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : Cette architecture de sécurité client-serveur chiffre les transactions EAP au sein d'un tunnel de sécurité de niveau de transport (TLS) entre le point d'accès et le serveur RADIUS, tel que le moteur de services d'identité (ISE).

  Le tunnel TLS utilise des informations d'authentification protégées (PAC) pour l'authentification entre le client (téléphone) et le serveur RADIUS. Le serveur envoie un ID d'autorité (AID) au client (téléphone), qui à son tour sélectionne le PAC approprié. Le client (téléphone) renvoie un PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC avec la clé principale. Les deux terminaux contiennent maintenant la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge la mise à disposition automatique de PAC, mais vous devez l'activer sur le serveur RADIUS.

  Dans ISE, par défaut, le PAC expire dans une semaine. Si le téléphone a un PAC expiré, l'authentification avec le serveur RADIUS prend plus de temps pendant que le téléphone obtient un nouveau PAC. Pour éviter les délais de mise à disposition de PAC, définissez la période d'expiration de PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.

• Authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) : EAP-TLS nécessite un certificat client pour l'authentification et l'accès au réseau. Pour EAP-TLS sans fil, le certificat client peut être MIC, LSC ou certificat installé par l'utilisateur.

• Protected Extensible Authentication Protocol (PEAP) : Schéma d'authentification mutuelle propriétaire par mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour l'authentification avec le réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPV2 et PEAP-GTC sont prises en charge.

• Clé pré-partagée (PSK) : Le téléphone prend en charge le format ASCII. Vous devez utiliser ce format lorsque vous configurez une clé pré-partagée WPA/WPA2/SAE :

  ASCII : une chaîne de caractères ASCII de 8 à 63 caractères (0 à 9, A à Z minuscule et majuscule, et caractères spéciaux)

  Exemple : GREG123567@9ZX&W